Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



29.10.2021

Veritas po raz 16. liderem...

Firma Veritas Technologies, producent uznanych rozwiązań backup klasy enterprise,...
21.10.2021

Zarządzanie IT

We wrześniu BTC Sp. z o.o. zaprezentowała premierową wersję systemu eAuditor V8 AI.
21.10.2021

Konferencja VMworld

Imagine That. Pod takim hasłem w dniach 5–7 października 2021 r. odbyła się jedna z...
21.10.2021

Darmowy deszyfrator

Bitdefender wspólnie z organami ścigania opracował i wydał narzędzie, które pozwala...
21.10.2021

Dell C1422H

Dell Technologies wprowadza do oferty przenośny monitor do zwiększenia wydajności pracy w...
21.10.2021

Dysk dla cyfrowych twórców

Western Digital zaprezentowało nowy dysk – WD Blue SN750 NVMe SSD.
21.10.2021

Projektory laserowe

Optoma wprowadza serię projektorów laserowych Ultra Bright ZU1700, ZU1900, ZU2200 z...
21.10.2021

Orzeł wśród routerów

D-Link wprowadza na rynek smart router EAGLE PRO AI AX1500 R15.
21.10.2021

Nowe generacje Ryzen i Epyc

AMD 3D V-Cache. AMD zapowiada procesory Ryzen i Epyc z nowym rozwiązaniem.

Odpowiedzialność prawna sprawcy ataku APT

Data publikacji: 26-08-2021 Autor: Charlotta Lendzion

Z roku na rok liczba cyberataków rośnie, a napastnicy używają coraz bardziej zaawansowanych technik ataków. Zagrożenie rośnie nie tylko ze względu na coraz większą liczbę podłączonych do internetu urządzeń – na krajobraz zagrożeń wpłynęła także sytuacja epidemiologiczna. Jednym z największych zagrożeń pozostają kampanie Advanced Persistent Threat.

 

Biorąc pod uwagę, że nie zawsze zabezpieczenia systemowe w danym przedsiębiorstwie są na odpowiednim poziomie, a zarazem rośnie liczba coraz bardziej zaawansowanych kampanii, może być przyczyną nieuprawnionego dostępu do danych, a co za tym idzie – potencjalnie kolosalnych strat finansowych i wizerunkowych dla danego przedsiębiorstwa. Według danych zgromadzonych przez analityków statista.com przychody z rynku ochrony przed APT na całym świecie od 2015 do 2025 r. szacuje się na prawie 12,5 mld dolarów rocznie.

W odpowiedzi sekretarza stanu w Ministerstwie Sprawiedliwości – z upoważnienia ministra – na interpelację nr 15805 w sprawie internetowych przestępstw komputerowych możemy przeczytać m.in, że przestępczość komputerowa jest zjawiskiem niejednolitym, które obejmuje cały szereg różnych bezprawnych zachowań, a przestępstwa popełniane z wykorzystaniem sieci internet ujawniane są na wielu płaszczyznach. Najczęściej jednak godzą one w bezpieczeństwo danych osobowych, własność intelektualną, własność przemysłową czy też – jak trafnie wskazuje autor interpelacji – „w bezpieczeństwo usług bankowych (finansowych) świadczonych za pośrednictwem Internetu”. Oznacza to, że przestępstwa APT mogą mieć na celu nie tylko pozyskanie danych osobowych, ale również własności intelektualnej czy danych bankowych i finansowych.

Głównym celem ataków Advanced Persistent Threat (APT) jest pozyskanie poufnych informacji, wrażliwych danych czy tajemnic przedsiębiorstw. Jednak nie tylko przedsiębiorstwa mogą być celem ataku – zagrożone są również osoby fizyczne, które są inwigilowane za pomocą oprogramowania po to, aby ostatecznie spenetrować infrastrukturę przedsiębiorstw. Jest to proces długotrwały, który polega na wytrwałym szpiegowaniu ofiary i skrupulatnym maskowaniu całego procederu. Innymi słowy podmiot przeprowadzający atak łamie zabezpieczenia systemowe danej firmy, organizacji lub osoby fizycznej, dostaje się w głąb systemu i śledzi go w taki sposób, aby zebrać jak najwięcej informacji potrzebnych do przeprowadzenia ostatecznego ataku, w którym zostanie osiągnięty cel. Wskazuje się, że średni czas od włamania do osiągnięcia celu trwa około sześciu miesięcy. Użytkownicy systemu nie wiedzą nawet, że złośliwe oprogramowanie szpieguje wszystkie kroki, jakie są w danej organizacji czy firmie wykonywane na każdym szczeblu.

Według cybersecurity.org atak APT, ze względu na ich złożoność, dzieli się na kilka etapów. Pierwszym z nich jest faza reconnaissaince, czyli rozeznania w zakresie firmy, która ma być celem ataku. Przykładem rekonesansu może być weryfikacja słabych punktów, które najpierw mogą być początkowym wektorem ataku, np. słabo zabezpieczona skrzynka pocztowa. Drugi etap określany jest mianem weaponization, co można tłumaczyć jako uzbrajanie kampanii. Ma on na celu przygotowanie odpowiedniego oprogramowania, które złamie zabezpieczenia infrastruktury. Może się to sprowadzać do dystrybucji zainfekowanych plików XLS czy PDF, które pracownicy otworzą na firmowych komputerach. Następnie złośliwe oprogramowanie trafia do celu, czyli jest dostarczane do danej firmy np. poprzez maila, z użyciem mechanizmów socjotechnicznych (phishing). Po otwarciu takiego pliku dochodzi do kolejnych etapów, jakimi są exploitation i install, które mającą na celu instalację złośliwego oprogramowania w zaatakowanym systemie. Po instalacji atakujący przejmuje kontrolę (Command and Control) nad danym komputerem czy systemem i dochodzi do zrealizowania celu samego ataku, czyli pozyskania poufnych informacji, kradzieży danych itp.

Złożoność problematyki APT wynika głównie z trudności w odnalezieniu sprawców lub możliwości wskazania ich tożsamości, co jest kluczowe, aby móc w przyszłości postawić komuś chociażby zarzuty karne czy też domagać się odszkodowania.

O ile przepisy na terenie Polski zawierają katalog mający zastosowanie do przestępstw tego typu, o tyle znalezienie podmiotu odpowiedzialnego za ataki może być utrudnione lub wręcz niemożliwe. Coraz mniej skuteczne jest na przykład śledzenie przepływów finansowych po opłaceniu okupu – konta napastników zakładane są na „słupy”, a coraz częściej hakerzy wykorzystują kryptowaluty gwarantujące im pełną anonimowość. Atrybucja jest tym trudniejsza, że skutku nie przynosi także analiza ruchu sieciowego – atakujący wykorzystują zaawansowane mechanizmy ukrywania źródeł ataku, jak choćby trasowanie cebulowe.

Podmioty prywatne powinny nie tylko poszerzać swoją wiedzę z zakresu cyberbezpieczeństwa w obrębie własnej branży, ale również zapoznawać się z komunikatami pochodzącymi z organizacji działających w innych gałęziach gospodarki. Chociażby w zakresie publikacji informacji sojuszniczych, np. US–01/2020, która jest skierowana do sektora bankowego/finansowego, ale ogólny jej przekaz może być bardzo wartościowy również dla innych branż. Nawet jeśli w danym momencie ataki mogą być skierowane na daną branżę, to nie ma pewności, że za chwilę nie zaistnieją one w innej. Najcześciej takie komunikaty można znaleźć na stronie KNF.

 

> Ustalenie sprawcy ataku

Ustalenie podmiotu przestępstwa (podejrzanego, oskarżonego) jest niezwykle ważne, ponieważ wskazanie konkretnej osoby/podmiotu jest niezbędne, aby móc postawić zarzut karny. W początkowej fazie postępowanie karne toczy się w sprawie, wtedy jest ustalany zakres strat, jakie firma poniosła, oraz zbieranie wszelkich dowodów. Kolejną fazą postępowania jest prowadzenie sprawy in personam, czyli przeciwko komuś. Dlatego, jak czytamy w pozycji „Ustalenie tożsamości oskarżonego w postępowaniu karnym” J. Izyroczyka, istotą postępowania karnego jest ustalenie zakresu przestępstwa, następnie tożsamości podejrzanego, a dopiero w dalszej kolejności ustalenie jego dokładnych danych osobowych.

Zgodnie z artykułem 213 Kodeksu postępowania karnego: „w postępowaniu należy ustalić tożsamość oskarżonego, jego numer Powszechnego Elektronicznego Systemu Ewidencji Ludności (PESEL), a w przypadku osoby nieposiadającej numeru PESEL – numer i nazwę dokumentu stwierdzającego tożsamość oraz nazwę organu, który wydał dokument, a także wiek oskarżonego, jego stosunki rodzinne i majątkowe, wykształcenie, zawód i źródła dochodu, dane o jego karalności oraz w miarę możliwości numer telefonu i telefaksu oraz adres poczty elektronicznej umożliwiające kontaktowanie się z oskarżonym oraz numer identyfikacji podatkowej (NIP), o ile został nadany. Odnośnie do oskarżonego będącego funkcjonariuszem publicznym w chwili popełnienia czynu lub w czasie postępowania należy ponadto zebrać dane dotyczące przebiegu służby publicznej, wyróżnień oraz ukarań dyscyplinarnych. W razie potrzeby prokurator, inny organ prowadzący postępowanie przygotowawcze lub sąd uzyskuje informację z systemu teleinformatycznego ministra właściwego do spraw finansów publicznych dotyczącą stosunków majątkowych i źródeł dochodu oskarżonego, w tym prowadzonych i zakończonych postępowań podatkowych, na podstawie aktualnych danych znajdujących się w tym systemie. Informację uzyskuje się drogą elektroniczną”. Oznacza to, że tożsamość sprawcy jest kluczowa dla sprawy. Dlatego podmiot poszkodowany/pokrzywdzony powinien złożyć zawiadomienie o popełnieniu przestępstwa (jeżeli takowe zachodzi) wraz z żądaniem ustalenia sprawcy ataku.

 

[...]

 

Prawnik, właściciel llegal.pl, stały mediator przy Sądzie Okręgowym w Gdańsku specjalizujący się w mediacjach z zakresu własności intelektualnej. Członkini Stowarzyszenia Praktyków Ochrony Danych SPOD, Autorka książki o odpowiedzialności odszkodowawczej. Auditor wewnętrzny w zakresie bezpieczeństwa informacji oraz systemu zarządzania jakością. Certyfikowany tester oprogramowania. Z branżą IT związana od 2012 roku. Aktualnie w trakcie badań naukowych w ramach pracy doktorskiej z zakresu prawa nowych technologii.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"